Protecting Communication Infrastructures Against Attacks with Programmable Networking Technology
| dc.contributor.advisor | Wolisz, Adam | en |
| dc.contributor.author | Hess, Andreas | en |
| dc.contributor.grantor | Technische Universität Berlin, Fakultät IV - Elektrotechnik und Informatik | en |
| dc.date.accepted | 2008-06-19 | |
| dc.date.accessioned | 2015-11-20T18:12:53Z | |
| dc.date.available | 2008-07-29T12:00:00Z | |
| dc.date.issued | 2008-07-29 | |
| dc.date.submitted | 2008-07-29 | |
| dc.description.abstract | Die Angriffsstatistiken spiegeln ein klares Wachstum registrierter Schutzzielverletzungen wider. Die Ursachen hierfür sind zahlreich. Grundlage sind zum einen die sich stetig vergrößernden Mengen der Internetnutzer und der Internetrechner. Zum anderen lässt sich ein fehlendes bzw. mangelhaftes Sicherheitsbewusstsein vieler Nutzer und Administratoren beobachten, welches in mangelhafter Systempflege resultiert. Betriebssystem- und Softwarehersteller stellen Sicherheitsupdates für das Beseitigen bekannt gewordener Sicherheitslöcher—so genannte Patches—bereit, die aber nicht oder nur stark zeitverzögert eingespielt werden. Als Beispiel hierfür kann der als Blaster bekannt gewordene Internetwurm herangezogen werden, welcher eine Schwachstelle des RPC-Dienstes von Windows-Systemen ausnutzte. Am 16. Juli 2003 stellte Microsoft auf seiner Seite ein entsprechendes Sicherheitsupdate zur Verfügung und dennoch erfolgte am 11. August ein Ausbruch des Internetwurms. Symantec stufte den Wurm in die Kategorie 4 (ernsthafte Bedrohung / weltweite Verteilung) ein. Mithilfe einer dynamischen, automatisierten Verteilung und Integration von proaktiven Schutzmechanismen innerhalb eines Netzwerkes, kann mit ”geringem” Aufwand eine große Zahl an Endsystemen in kurzer Zeit geschützt werden. Es ist dabei jedoch zu beachten, dass Angriffsunterdrückungssysteme das Verhalten (Durchsatz, Latenzzeit, Jitter, etc.) von Netzwerken beeinflussen, da der Netzwerkverkehr vor der Weitervermittlung auf verdächtigen Inhalt geprüft wird. Software-spezifische Schwachstellen und folglich auch die Menge der darauf basierenden Angriffe, sind zumeist spezifisch für eine bestimmte Menge von Anwendungen oder Betriebssystemen. Hierdurch bietet sich eine Modularisierung der zu den Schwachstellen korrespondierenden Schutzmechanismen an. Das Ziel dieser Arbeit ist die Realisierung eines auf aktiver Netzwerktechnologie basierenden und sich selbstorganisierenden Angriffsunterdrückungs-Netzwerks. Aktive Netzwerke bieten die Möglichkeit, anwendungsspezifische Dienste, z.B. spezielle Angriffsunterdrückungsfunktionalitäten, dynamisch auf aktiven Knoten zu starten und zu beenden. Es wird also untersucht wie die Ermittlung und Erfüullung des spezifischen Schutzbedarfs einzelner Netzbereiche automatisiert werden kann. Dabei werden die folgenden Punkte diskutiert und entwickelt: • die Architektur des auf aktiver Netzwerktechnologie basierenden Angriffsunterdrückungsystems, • die Analyse des zu schützenden Netzwerks hinsichtlich Topologie und verbundener Systeme, und • die Entscheidung auf welchen Router welche Schutzmechanismen platziert werden. Im Rahmen der Arbeit wird ein Konzept eines solchen Angriffsunterdrückungs-Netzwerks entwickelt und prototypisch implementiert. Es wird exemplarisch gezeigt wie ein Netzwerk hinsichtlich Topologie und Systemkonfigurationen untersucht werden kann. Zur Berechnung der ”optimalen” Verteilung der Schutzmechanismen wird ein mathematisches Model aufgestellt. Es werden dabei die folgenden Platzierungsstrategien entwickelt: • Erfüullung aller Sicherheitsanforderungen bei gleichzeitiger Minimierung der Anzahl der verwendeten aktiven Router. • Erfüllung aller Sicherheitsanforderungen bei gleichzeitiger Minimierung der maximalen Belastung eines Routers. Abschliessend wird das entwickelte Angriffsunterdrückungs-Netzwerk auf die Experimentierumgebung Deter-Testbett portiert und es werden zwei konkrete Netzwerkkonfiguration emuliert und bewertet. Die erzielten Resultate zeigen deutlich den Gewinn des entwickelten Ansatzes. | de |
| dc.description.abstract | The continued explosion of new virus/worm and other security attacks in the Internet, the tremendous propagation speed of self-propagating attacks, and the still increasing number of hosts connected to the Internet has led to network security being considered as a design criterion rather than an afterthought. Beyond this, also the diversity of software is increasing and still the quality of many software solutions is insufficient, especially in terms of security vulnerabilities resulting from programming errors. These problems are aggravated by an inappropriate security awareness of many network and system administrators as well as users which has (again) been clearly shown by the W32/Blaster worm. The worm which started on August 11th 2003 exploited a vulnerability that has already been known four weeks earlier. Actually, since July 16th 2003 Microsoft had provided a patch in order to fix this flaw. But still, the worm could diffuse itself in a manner such that Symantec rated it as category 4 (severe threat, global distribution). As a consequence thereof, we can clearly see that the idea of quickly patching all vulnerable systems upon detection of a new security hole is not an appropriate measure to cope with the evolution of execution speed of computer attacks, and that, therefore, attackers will continue to be able to break into systems and deploy them for their purposes in the future. Attack prevention, detection, and mitigation mechanisms can be broadly classified as network based or host based. Network based security mechanisms have been shown to be much more effective than host based mechanisms, primarily because of the former’s ability in identifying attack traffic that is further upstream from the victim and closer to the attack source. In the context of network based mechanisms, we propose a flexible overlay network of security systems running on top of programmable (active) routers. In such an architecture, security services can be dynamically distributed across the network, which provides flexibility for load-balancing of services across nodes and addition of new services over time. The thesis discusses: • the architecture of the intrusion prevention system on top of active networking technology, • the process of analyzing the network to be protected in terms of topology and connected systems, • the third functional part decides which intrusion prevention services are deployed on which programmable routers. A contribution of the thesis is the conceptual design of the autonomous intrusion prevention overlay network on top of programmable networking technology, also a corresponding prototype is implemented. We exemplarily show how to gather network information in terms of topology and connected systems. Further on, we develop an optimization framework that specifies the optimal placement of security services. The following ob jective functions are introduced: • minimize the number of programmable routers used while fulfilling all security requests; • minimize the maximal workload of a programmable router while fulfilling all security requests. Finally, the intrusion prevention architecture is setup on the Deter testbed. We show the benefit of the presented approach by emulating two concrete networking scenarios. | en |
| dc.identifier.uri | urn:nbn:de:kobv:83-opus-19234 | |
| dc.identifier.uri | https://depositonce.tu-berlin.de/handle/11303/2215 | |
| dc.identifier.uri | http://dx.doi.org/10.14279/depositonce-1918 | |
| dc.language | English | en |
| dc.language.iso | en | en |
| dc.rights.uri | http://rightsstatements.org/vocab/InC/1.0/ | en |
| dc.subject.ddc | 620 Ingenieurwissenschaften und zugeordnete Tätigkeiten | en |
| dc.subject.other | Netzwerkbasierte Angriffsunterdrückung | de |
| dc.subject.other | Netzwerksicherheit | de |
| dc.subject.other | Programmierbare Netzwerke | de |
| dc.subject.other | Network security | en |
| dc.subject.other | Network-based intrusion prevention | en |
| dc.subject.other | Programmable networking technology | en |
| dc.title | Protecting Communication Infrastructures Against Attacks with Programmable Networking Technology | en |
| dc.title.translated | Schutz von Kommunikationsnetzen gegen netzwerk-basierte Angriffe mithilfe programmierbarer Netzwerktechnologie | de |
| dc.type | Doctoral Thesis | en |
| dc.type.version | publishedVersion | en |
| tub.accessrights.dnb | free | * |
| tub.affiliation | Fak. 4 Elektrotechnik und Informatik::Inst. Telekommunikationssysteme | de |
| tub.affiliation.faculty | Fak. 4 Elektrotechnik und Informatik | de |
| tub.affiliation.institute | Inst. Telekommunikationssysteme | de |
| tub.identifier.opus3 | 1923 | |
| tub.identifier.opus4 | 1836 | |
| tub.publisher.universityorinstitution | Technische Universität Berlin | en |
Files
Original bundle
1 - 1 of 1